Google a transmis des données d’utilisateurs à l’agence américaine de l’immigration (ICE), malgré ses engagements de confidentialité. Ce n’est pas un bug — c’est le système qui fonctionne comme prévu. Et ça devrait changer la façon dont on choisit nos prestataires techniques.
Ce qui s’est passé — et pourquoi ce n’est pas une surprise
L’affaire Google/ICE n’est pas une trahison exceptionnelle d’une entreprise qui aurait perdu la tête. C’est le fonctionnement normal d’un système où les données sont centralisées chez des acteurs soumis à des juridictions que leurs utilisateurs ne comprennent pas. Google a fait ce que n’importe quelle entreprise américaine aurait fait à sa place : obéir à la loi de son pays.
Le problème, c’est qu’on a vendu aux utilisateurs l’idée que leurs données étaient protégées par une politique de confidentialité — un document que personne ne lit et dont les exceptions légales sont rédigées assez largement pour y faire passer un camion. C’est de la fiction de protection, et dans certains contextes (immigration, militantisme, journalisme), cette fiction peut coûter très cher à des gens réels.
RGPD vs. CLOUD Act : deux logiques irréconciliables
En Europe, on a tendance à se rassurer avec le RGPD. Et c’est vrai que le règlement impose des contraintes réelles aux entreprises qui traitent des données de résidents européens. Mais le RGPD protège contre les usages commerciaux abusifs des données — pas contre les demandes légales d’une puissance étrangère.
Le CLOUD Act, lui, opère à un niveau différent : il autorise les forces de l’ordre américaines à demander des données à des entreprises américaines, peu importe où ces données sont stockées. Google peut avoir ses serveurs en Irlande, la filiale irlandaise peut être théoriquement soumise au RGPD — si le ministère américain de la Justice envoie une demande valide à Google LLC aux États-Unis, l’entreprise peut être contrainte de fournir les données. La Cour de Justice de l’UE a d’ailleurs invalidé le Privacy Shield en 2020 (arrêt Schrems II) précisément parce que ce type d’accès était jugé incompatible avec le droit fondamental européen.
Concrètement : si ton application ou ton service héberge des données utilisateurs chez AWS, Google Cloud ou Azure — même en région EU-West — tu es soumis à cette tension juridique. Tes utilisateurs pensent être protégés par le RGPD. Techniquement, une demande américaine pourrait contourner cette protection. C’est inconfortable, mais c’est la réalité.
⚠️ Le CLOUD Act américain permet aux autorités US d’accéder aux données stockées par des entreprises américaines, même en Europe. Héberger chez AWS Frankfurt ne te met pas à l’abri d’une injonction américaine si ton fournisseur est une entreprise US.
DÉCOUVREZ NOS RÉALISATIONS
West Data Festival
Site WordPress sur mesure pour le West Data Festival de Laval. Gestion des inscriptions speakers, programme et billetterie.
Voir le projet →Ce que ça change (ou devrait changer) dans nos choix techniques
La réaction pragmatique, ce n’est pas de supprimer son compte Google et de vivre dans les bois. C’est de traiter la localisation et la juridiction des données comme des critères techniques à part entière — au même titre que la latence ou le coût.
Quelques réflexes concrets à adopter ou à recommander à tes clients :
- Souveraineté de l’hébergement : Des acteurs comme OVHcloud, Scaleway ou Infomaniak sont des entreprises européennes soumises au droit européen. Ce n’est pas une garantie absolue, mais c’est une couche de protection supplémentaire réelle.
- Chiffrement côté client : Si les données sont chiffrées avant d’arriver sur le serveur, et que la clé ne quitte jamais le terminal de l’utilisateur, même une injonction légale ne permet d’accéder qu’à du bruit.
- Minimisation des données : La donnée qu’on ne collecte pas est la donnée qu’on ne peut pas divulguer. Simple, mais souvent négligé au profit du « on collecte tout, on verra après ce qu’on en fait ».
- Audit des CGU de tes sous-traitants : Si ton service web repose sur dix SaaS américains, ta politique de confidentialité est aussi solide que la plus faible de ces dix. Cartographie tes sous-traitants et lis leurs conditions de divulgation.
Si tu construis une application sur mesure qui traite des données sensibles — santé, immigration, situation personnelle — ces choix techniques ne sont pas optionnels. Ils sont une question d’éthique autant que de conformité.
L’hébergement, le parent pauvre des projets web
On passe des heures à choisir un framework, un CMS, une palette de couleurs. On choisit l’hébergeur en cinq minutes parce que c’est « le moins cher » ou « celui qu’on connaît ». Cette affaire Google/ICE est un rappel brutal que l’hébergement n’est pas un détail d’infrastructure — c’est un choix politique et éthique.
Un hébergement maîtrisé, avec une entreprise dont tu comprends la juridiction et les obligations légales, c’est une partie de la promesse que tu fais à tes utilisateurs. Et contrairement aux CGU de Google, c’est une promesse que tu peux tenir — parce que tu as choisi un prestataire qui n’est pas soumis au CLOUD Act.
Ce n’est pas qu’une question pour les grandes entreprises ou les ONG à risque. Un e-commerce qui stocke des adresses, un cabinet qui archive des échanges clients, une plateforme de mise en relation qui gère des profils — tous ces cas sont concernés. La donnée sensible, c’est souvent celle qu’on ne perçoit pas comme telle au moment où on la collecte.
WESTCODE BY LEB
Studio web en Mayenne — On crée des outils numériques qui transforment
✅ OVHcloud, Scaleway et Infomaniak sont des hébergeurs européens soumis au droit européen. Passer de AWS/GCP à l’un d’eux ne résout pas tout, mais ça enlève une couche de risque juridictionnel — et c’est souvent comparable en tarif et en qualité de service.
Mon avis tranché : arrêtons de faire semblant que les CGU protègent qui que ce soit
En tant que développeurs et créateurs de services web, on a une responsabilité dans la chaîne. Pas de choisir la résistance héroïque aux injonctions — on n’est pas en mesure de le faire. Mais de choisir les bons prestataires, de minimiser la collecte, d’être honnêtes dans ce qu’on promet à nos utilisateurs sur la protection de leurs données. Et de cesser de traiter l’hébergement comme une commodité sans conséquence. Si tu veux en parler dans le contexte d’un projet, c’est exactement le genre de question d’hébergement et de maintenance qu’on est amenés à poser systématiquement avant de lancer quoi que ce soit.
Mon pari : d’ici deux ans, la juridiction de l’hébergeur sera un critère de sélection aussi courant que le prix dans les cahiers des charges des clients sérieux. L’affaire Google/ICE va laisser des traces — et ce sera une bonne chose.
